Skip to content

Monowall 테스트 1부

1.콘솔메뉴
콘솔은 하이퍼 터미널 이용 제어 가능.
사실상 콘솔모드에서는 reboot system을 이용해서 리부팅 하는것과
ping host를 이용해 ping test하는 것 외에는 쓸일이 없습니다.
너무나 허전한 메뉴입니다.(그림 참조)

실질적인 제어는 GUI모드를 이용해서 합니다.이것은 실제 IDC입고후 관리를 생각했을때 편한 관리환경을 제공해 줍니다.2.GUI 메뉴

System
1.General Setup
GUI접속 포트 변경 (10080포트로 변경)
관리자 암호 변경
ntp서버 등록등 기본적인 설정 가능

2.Static routes
기본적인 하나의 네트워크를 사용하는 게이트웨이 외에 다른 네이워크의 게이트웨이를 사용할수 있게 해준다.
실제적인 호스팅 서비스에서는 특별히 필요 없는 기능이다.

3.Firmware
http://mono.ch/wall 에서 제공하는 Firmware를 업그래이드 할수 있는 메뉴
현재 최신 버전(04/11/11) 설치하였음

4.Advanced setup
IPv6 터널링이나 webGUI SSL과 같은 설정을 할수 있음

Interfaces (assign)
테스트 중인 보안 장비는 3개의 랜포트를 제공합니다.
첫번째 포트는 LAN용 포트이며 내부 아이피를 부여 관리를 목적으로 사용하였습니다.
두번째 포트는 WAN포트이며 공인 아이피를 부여하여 네트워크로 연결되는 포트로 사용 하였습니다.
나머지 포트는 DMZ영역으로 지정 역시 내부 아이피를 부여하여
실제로 서버와 연결되도록 설정 하였습니다.
WAN포트 설정의 경우 DHCP,PPPoE,PPTP등을 설정할수 있게 되어 있습니다. 호스팅 서비스에서 PPTP(VPN)외에는 크게 사용할 일이 없을것으로 생각됩니다.

Firewall
본격적인 방화벽 설정부분입니다.

테스트용 셋팅값
LAN 192.168.1.1부여 192.168.1.3 윈도우 컴퓨터 연결 GUI환경 관리
WAN 218.154.49.97부여
DMZ 192.168.2.1 부여 192.168.2.3 리눅스 웹서버와 연결

3개의 포트에 적용될 룰을 독립적으로 셋팅할수 있습니다.

기본 방화벽 설정 내용입니다.WAN설정에는 모든 포트를 차단하였으며 기본포트(80,21,23..등)를 DMZ영역(192.168.2.3)에서 접속할수 있게포워를 열었습니다.LAN설정은 기본적으로 전부 접속가능하게 열어 놨습니다.DMZ설정은 LAN을 제외한곳에서 모든 접속을 열어 놨습니다.(LAN을 막은 이유는 불필요한 트래픽을 제거하기 위해서 입니다.monowall 권장 사항)위 설정적용후 테스트 하여 방화벽이 정상적으로 동작하는 것을 확인 하였습니다.NAT이제 NAT을 이용해여 포트포워딩을 합니다.실제 리눅스 서버에 내부 아이피를 할당 하였기 때문에인바운드와 아웃 바운드만 설정 하였습니다.

인바운드 설정에서 WAN을 통해 특정 포트로 들어오는 데이터를 나누는 설정을 하였습니다.
21.22.80등의 포트로 들어온 데이터는 192.168.2.3 으로
3398번(원격제어)으로 들어오는 데이터는 192.168.1.3으로 보내게 설정하였습니다.

아웃바운드에 대해서는 192.168.1.0 대역의 네트웍과 192.168.2.0대역의 네트웍에서 나가는 데이터를 WAN을 통해 나갈수 있도록 설정하였습니다.

Traffic shaper
네트워크 대역을 제한하는 메뉴입니다.
저번의 테스트 결과 412Kbps/sec 에서 CPU점유율이 100%가 되는 것을 감안하여 400kbps/sec까지 제한하였습니다.

Aliases
리눅스나 윈도우의 host allias와 동일한 기능입니다.
방화벽 안에 허브를 두어 여려대의 서버를 관리할경우 편리한 기능으로 생각됩니다.

Services
방화벽 장비에서 기본적으로 제공되는 서비스 입니다.

이것으로 방화벽 장비를 이용한 기본적인 방화벽 설정은 완료 되었습니다.
그러나 각종 해킹툴이나 웜등의 공격에는 아직도 취악한 상태입니다.
해킹 툴을 이용한 공격에 대한 방어 설정은 다음회에 보다 심도있게 정리해 보겠습니다.

Published inLinux